[개인정보보호 우수사례-국립암센터] 기관장과 직원들의 적극적인 협력으로 이룬 ‘S등급’

기관장의 적극적·지속적 관심과 개인정보보호에 대한 직원 의식 제고
정보보호팀 신설로 전문적인 개인정보보호 관리 및 제도 개선에 따른 재정비
이동역 파트장, 6월 9일 PIS FAIR 2023에서 ‘공공기관 개인정보 관리수준진단 준비 사례’ 발표

[보안뉴스 이소미 기자] 국립암센터는 국내 유일의 암전문기관으로, 우리나라 사망원인 1위 질병인 암으로부터 국민을 보호하기 위해 국가에서 설립한 공공기관이다. 인구 고령화에 따른 암발생률 증가와 동시에 암생존자도 급격히 늘어나고 있는 상황에서 국립암센터의 국가적 관리 책임은 더욱 중요해지고 있다. 암에 대한 전문적인 연구와 진료를 통해 우리나라 국민의 암 발생률과 사망률을 낮추고 암 환자의 삶의 질을 높이는 등 국민보건 향상에 이바지하고자 노력하고 있다.

▲국립암센터 건물 전경[사진=국립암센터]

국립암센터, 기관장의 적극적·지속적인 관심이 ‘개인정보보호 부문’ 우수한 성적 이끌어
국립암센터는 연구소, 부속병원, 국가암관리사업본부, 대학원대학교 등 산·학·연·병 아우르는 조직을 모두 포함하는 기관이다. 개인정보보호담당 이동역 파트장은 “우리 기관에서 다뤄야 하는 개인정보 데이터는 정부부처나 일반 공공기관에 비해 각종 통제정책 수립에 있어 복잡도가 상당히 큰 편”이라고 밝혔다. 주로 다루는 개인정보로 △의료데이터 △암연구자료 △국가암관리사업자료 △학사정보 등 다양한 개인정보 데이터 등이 있다.

이같이 다소 복잡다단한 개인정보 관리 및 보호를 위한 각고의 노력 끝에 국립암센터는 2022년 ‘공공기관 대상 개인정보 관리수준 진단’ 부문 최고 등급인 ‘S등급’을 받았다. 공공기관 대상 개인정보 관리수준 진단은 개인정보 관리체계 및 유출 예방 활동 등을 진단해 국민의 개인정보가 안전하게 관리되고 있는지의 여부를 확인하고 안전 기반 조성을 유도하기 위한 제도다. 매년 정해지는 평가지표를 토대로 한해 동안의 기관의 개인정보보호에 대한 평가를 받게 된다.

이동역 개인정보보호 파트장은 개인정보보호 부문 최우수 기관으로 선정된 배경에 대해 “기관장(국립암센터원장)과 CPO(헬스케어플랫폼센터장)의 지속적인 관심과 적극적인 지원 덕분”이라고 말했다.

정보보호팀 운영으로 체계적·전문 관리 가능...기초부터 보호단계까지 ‘튼튼체제 구축’
코로나19 이후 업무 환경이 크게 변화하고 있다. △재택근무 수요 △환자 비대면 진료 지원 서비스 등장 △영상판독 의사 부족으로 인한 위탁판독 수요 △정보서비스 구축시 클라우드 인프라 활용 등으로 정보보호 및 개인정보보호 분야에서의 관리 포인트 또한 급속히 증가하고 있다.

이에 국립암센터는 지난 2020년 ‘정보보호팀’을 신설해 전반적인 개인정보관리체계 정비와 개인정보처리시스템 운영에 대해 기술적·관리적 역량 강화를 진행하고 전문성을 키워왔다. 특히, 지난해 개선된 공공기관 개인정보보호 진단제도에 맞춰 내부관리체계 재정비를 진행했다.

먼저, 개인정보보호관리체계 수립 단계에서 기본적인 관리적·기술적·물리적 보호체계 구축을 최우선 과제로 판단해 실시했다. 이를 위해 공공의료기관 최초로 △전사 망분리 적용 △정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 획득 △전사 무선랜 체계 정비 △주요 정보보호 솔루션 도입 및 고도화 등을 추진했다.

또한, 매월 개인정보처리시스템의 접근권한 및 접속기록 점검과 위탁업체 점검도 실시하고 있다. 추가적으로 개인정보 유출 및 오남용 방지를 위해 보건복지부 ‘개인정보관제센터’와 연계해 실시간 개인정보통합관제와 내부통합관제체계를 운영하고 있다.

이동역 파트장은 “무엇보다 기초단계 구축부터 보호단계까지 확실한 체계의 필요성을 인지하고 개인정보보호를 위한 각고의 노력을 수행하고자 했다”고 말했다.

직원 인식 제고 위해 내·외부 교육 참여 독려, 올해는 차세대 정보시스템 구축 예정
뿐만 아니라 개인정보보호에 대한 직원 인식 제고를 위해 다년간 지속적으로 개인정보보호 교육 강화를 위한 노력을 기울였다. 매년 정보보안 및 개인정보보호 교육계획에 따른 법정교육·신입직원 교육을 연2회 실시하고, 개인정보취급자와 주요 직무자 교육을 상시 진행했다.

교육 내용으로 최신 보안사고 실사례 공유를 통해 실무적인 정보자산 보호방안 제시와 보안의식 향상을 위해 노력했다. 특히, 관련 직무자의 경우 내·외부교육에 참여해 기술적인 역량 강화와 최신 정책·기술동향을 파악할 수 있도록 지원하고 있다. 그 결과, 직원들은 보다 적극적이고 능동적으로 개인정보보호에 동참함으로써 우수한 활동 결과로 이어졌다.

이동역 파트장은 “올해부터 차세대 정보시스템 구축사업에 착수할 예정이다. 보다 체계적인 정보보안 및 개인정보보호 운영을 위해 필요한 중·장기 시스템과 솔루션 도입을 계획하고 있다. 아울러 개인정보처리 시스템 구축 시 필요한 개인정보보호 영향평가도 함께 병행해 나갈 계획”이라고 밝혔다.

해마다 강화되는 법령에 전문인력은 부족...정부 차원의 인재 양성 등 문제 해결 발 벗고 나서야
주요 병원 해킹 사고, 개인정보 유출에 따른 신당역 살인사건 등 날이 갈수록 급증하는 개인정보 관련사고의 대안으로 정부 차원에서 각종 법령 정비 및 처벌 기준이 강화되고 있다. 이에 해마다 요구되는 개인정보 관리수준 난이도 역시 점점 높아지고 있는 실정이다.

이처럼 개인정보보호 및 관리체계 고도화에 발맞춰 효과적인 대응을 위해서는 정보보호 인력 확충과 지속적인 경험 및 노하우 축적을 기반으로 한 전문인력 양성이 중요하다는 게 이동역 파트장의 설명이다.

하지만, 전문인력 양성이 녹록치 않은 상황으로 정부 차원의 해결책이 강구되는 실정이다. 대다수의 산하기관 및 공공의료기관들은 정원 및 비용 문제 등으로 조직 강화나 전문인력 양성이 제대로 이루어지지 못하고 있는 상황으로, 국민들이 안심하고 이용할 수 있도록 정보시스템의 개인정보보호 관리체계가 더욱 공고해져야 하는 상황이다. 정부 차원의 정보보호 전문인력 확보의 중요성에 대한 적극적인 홍보와 법적 의무기준 신설 등 제도화된 정책의 마련이 필요해 보인다.

이동역 개인정보보호 파트장은 “지난 수년간 정규직 인력 확보를 위해 노력하고 있으나 쉽지 않은 상황”이라면서, “심지어 기존 인력의 경우 비정규직 비중이 상대적으로 높아 이직률 역시 높은 게 현실”이라고 안타까움을 내비쳤다.

한편, ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 6월 8일부터 9일까지 서울 코엑스 그랜드볼룸에서 국내 최대 규모의 개인정보보호 콘퍼런스인 ‘제12회 개인정보보호 페어&CPO워크숍’이 개최된다. 행사 둘째날인 9일에는 16시 10분부터 A트랙에서 국립암센터 정보보호팀 이동역 파트장이 ‘공공기관 개인정보 관리수준진단 준비 사례’에 대해 발표할 예정이다.

이번 행사는 개인정보보호위원회와 PIS FAIR 2023 조직위원회가 주최하고, 한국인터넷진흥원과 한국CISO협의회, 더비엔이 주관한다. 특히, 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[이소미 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)